为MDR客户审查检测与响应事件

检测与响应事件概览

Cato检测与响应是一个新的安全层，用于生成威胁事件。当Cato的高级关联引擎分析流量数据并匹配潜在威胁时，会生成一个事件。事件包含与同一威胁相关的具有共同属性的流量数据。事件工作台显示每个事件的详细信息，帮助您理解和分析威胁。您可以对事件进行排序和过滤，以找到最重要的潜在攻击，然后深入研究事件以进一步调查细节。

这些是事件可以包含的数据示例：

您网络中的来源
网络流量的外部目标
威胁的识别和描述
相关地理位置
相关应用程序
相关流量
根据Cato内部数据的目标受欢迎程度
根据Cato威胁情报算法的目标恶意评分

先决条件

此版本的检测与响应功能仅对Cato MDR客户可用。有关订阅MDR服务的更多信息，请联系您的Cato代表。

显示XDR发现事件

事件工作台显示您的账户中潜在威胁的事件摘要。

显示事件工作台：

从导航菜单中，点击主页> XDR 发现事件。

理解事件列

列	描述
ID	该事件的唯一Cato ID
创建时间	事件的第一个流量的日期
已更新	事件的最新流量的日期
风险评分	Cato对事件的风险分析（值范围是1 - 10）
IoA	事件的攻击指示器
来源	您的网络中受事件影响的设备名称或IP地址
类型	威胁搜寻 - Cato的算法和机器学习检测到潜在安全事件的事件使用异常 - 一次事件，其中应用程序表现出异常行为，指示潜在的安全事件异常事件 - 一次事件，在其中您的网络中的实体触发了异常数量的安全事件
状态	待处理客户 - 事件已发送给客户，正在等待他们的回应待处理分析师 - 正在等待Cato安全分析师提供更多信息已关闭 - Cato安全分析师关闭了事件

分组事件

为了在审查事件时提供背景，您可以按详细信息定义的分组显示事件，包括来源、指示、状态和类型。例如，您可以将与特定来源IP地址相关的所有事件或所有网络诱导事件一起显示。这在分析事件时为您提供了更广泛的视角，并可以帮助您更快更准确地得出结论。

每个组都会突出显示该组中的事件的严重性级别，包括高、中、低严重性的事件数量。

在事件工作台中分组事件：

从导航菜单中，点击主页> XDR 发现事件。
从分组依据下拉菜单中，选择所需的标准。

事件以可展开的组显示。

过滤事件

在事件工作台中有两种方式可以过滤数据：自动更新过滤器以包含选定项目，或手动配置过滤器。

自动过滤项目

当您悬停在有过滤选项的项目或字段上时，按钮会出现。点击图标以显示过滤选项：

添加到过滤器 - 将项目添加到过滤器中，而事件工作台现在仅显示包含该项目的事件。例如，如果您按照特定的风险评分过滤，屏幕只会显示具有那个风险评分的事件。
从过滤器中排除 - 更新过滤器以排除此项目，而事件工作台现在仅显示不包含此项目的事件。

您可以继续向过滤器添加项目，再次点击以更新过滤器并深入探究。

选择时间范围

事件工作台的默认时间范围是前两天。您可以选择不同的时间范围，以显示事件的更长或更短时间段。有关详细信息，请参阅设置时间范围过滤器。

事件工作台的最大日期范围是90天。

手动配置过滤器

您可以手动配置事件过滤器，以获得更高的粒度来分析事件。在配置过滤器后，它会被添加到事件过滤栏中，屏幕会自动更新以显示与新过滤器匹配的事件。

要创建过滤器：

在过滤器栏中，点击。
开始输入或选择字段。
选择操作符，它决定了字段和您要搜索的值之间的关系。
选择值。
点击添加过滤器。过滤器将被添加到过滤器栏中，XDR 发现事件将更新以显示基于过滤器的事件。

清除过滤器

您可以单独删除过滤器中的每个项目，或清除整个过滤器。

清除XDR 发现事件过滤器：

要清除单个过滤器，点击过滤器旁边的（上文项目1）。
要清除所有过滤器，请点击过滤器栏右端的X（上文项目2）。

深入挖掘和分析事件

您可以在XDR 发现事件中点击一个事件，以在不同的屏幕中深入调查详情。此屏幕包含多个小部件，帮助您评估潜在的威胁。有专门的小部件用于分析威胁搜寻或使用异常事件的数据。

理解威胁搜寻小部件

这些是用于威胁搜寻事件的小部件：

项目

名称

描述

事件摘要

关于事件的基本信息摘要，包括：

威胁类别
分析师确定的威胁的严重程度
与攻击相关联的信号（流量）的数量
受损设备的数量
事件状态

事件时间线

显示事件的时间线，如对事件判定和严重程度的更改，以及识别与事件相关的新目标的时间

详细信息

分析事件的关键信息，包括威胁描述、在相关流量中检测到的卡托威胁签名以及为该威胁识别的MITRE ATT&CK®技术。

有关MITRE ATT&CK®框架的更多信息，请参阅使用MITRE ATT&CK®仪表板。

将鼠标悬停在签名上以显示摘要事件日志
单击签名以打开为签名预过滤的事件屏幕
点击MITRE ATT&CK®技术以在MITRE ATT&CK®网站上阅读其描述

来源

关于您的网络中受威胁影响的设备的基本信息

攻击地理位置

显示您网络中的来源（橙色位置）和外部来源（红色位置）与威胁相关的地理位置。连接来源的箭头指示流量的方向

攻击分布

与攻击相关流量的时间分布。

为了使图表更易读，在目标中，点击一个目标以隐藏图表中的数据
为了显示攻击详情，将鼠标悬停在图表上

目标主机

显示事件中与外部潜在恶意来源相关的站点的数据。

列	描述
创建日期	目标域名的注册日期
目标	与事件相关的流量中识别的外部来源的域名或IP地址
目标链接	链接以在各种威胁情报来源中查找目标。有关额外信息，点击病毒总数图标，或从下拉菜单中选择其他资源。
恶意分数	根据卡托威胁情报算法确定的目标的恶意分数。分数范围从0（良性）到1（恶意）
受欢迎程度	目标在卡托内部数据源中出现的频率。值为：不受欢迎、低、中、高。
类别	卡托类别 for target domain
威胁情报源	检测到目标为恶意的卡托威胁情报源数量
引擎	检测为恶意目标的第三方安全引擎数量
国家	目标域名注册的国家
谷歌搜索结果数	目标的Google搜索结果数

与攻击相关的流量

显示与攻击相关的流量样本的数据。

列	描述
目标	流量的目标域名或IP
开始时间	流量开始的时间戳
方向	流量的方向方向包括：入站 - 起始于外部源的到达您网络的流量出站 - 从您网络流向外部源的流量 WAN方向 - 从您网络流向您网络的另一个站点的流量
源IP	在您网络中发送或接收流量的源IP地址
源端口	在您网络中发送或接收流量的源端口
目的IP	发送或接收流量的外部目标的IP地址
目标端口	发送或接收流量的外部目标的端口
方法	流量中的超文本传输协议方法（GET、POST等）
完整路径 URL	流量中外部资源的完整网址
HTTP 响应代码	目标对来自客户端的浏览器端请求的状态代码
客户端	流量中的客户端类型
Cato应用程序	流量中使用的Cato应用程序
引用源	包含链接到请求的资源的原始网站地址
用户代理	在流量中超文本传输协议请求头中标识用户代理字段中的代理（例如，浏览器版本）
目的地国家	流量中目标IP的位置

理解使用异常的组件

这些是用法异常故事的组件：

项目	名称	描述
1	故事摘要	提供关于故事基本信息的摘要，包括：异常名称严重程度机器学习模型的训练期以确定异常行为故事状态
2	详细信息	分析故事的重要信息，包括威胁描述和摘要，以及为威胁识别的MITRE ATT&CK®技术。有关 MITRE ATT&CK® 框架的更多信息，请参见与 MITRE ATT&CK® 仪表板合作。单击 MITRE ATT&CK® 技术以在 MITRE ATT&CK® 网站上阅读其描述
3	异常分布	过去 14 天的异常行为图展示异常详情，请将鼠标悬停在图表上点击查看全部以打开预先过滤与异常相关的应用程序的应用分析屏幕
4	主要主机	与异常相关的主要主机，带有相关的详细信息。例如，上行带宽异常的主机将显示该主机的上传次数点击查看全部以打开应用分析屏幕并显示预过滤与异常相关的应用程序的主机
5	主要应用程序	与异常相关的主要应用程序，带有相关的详细信息。例如，上行带宽异常的应用程序将显示该应用程序的上传次数点击查看全部以打开预先过滤与异常相关的应用程序的应用分析屏幕
6	顶级服务器/目的地	与异常相关的顶级服务器和目的地，带有相关的详细信息。例如，上行带宽异常的服务器将显示上传到服务器的次数点击查看全部以打开应用分析屏幕并显示预过滤与异常相关的应用程序的目的地

审阅票扎故事

卡托MDR团队打开工单以通知您关于重要故事的信息。当您收到工单时，您可以通过点击工单中提供的链接轻松在XDR发现事件中查看故事。这是一个示例工单：